공부용

동석 분석 단계클린 샷으로 복원 : 가상머신을 클린 상태로 복원하는 작업모니터링/동적 분석 도구 실행 : 악성코드 샘플 실행 전, 모니터링 도구를 실행한다. 관리자 권한으로 실행해야 한다.악성코드 샘플 실행 : 관리자 권한으로 악성코드 샘플을 실행한다.모니터링 도구 종료 : 악성코드 바이너리를 일정 시간 동안 실행한 후 종료한다.결과 분석 : 모니터링 도구에서 데이터/리포트를 수집하고 분석해 악성코드의 행위와 기능을 확인한다.1. 랩 환경 리눅스 VMIP : 192.168.1.100윈도우 VMIP : 192.168.1.x(책을 따라 192.168.1.50으로 설정함)Gw : 192.168.1.100Dns : 192.168.1.100감염되지 않도록 격리된 환경 사용.2. 도구 실행, 악성코드 샘플 실행 프..

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」디버깅 : 악성코드를 통제된 방식으로 실행하는 기술.디버깅 도구(디버거) : IDA, x64dbg, dnSpy 1) 프로세스 실행과 연결디버깅은 디버그할 프로그램을 선택하는 것에서 시작, 디버거 시작 시 원본 바이너리는 디버거를 실행하는 유저의 권한으로 실행됨. 프로세스를 실행하면 실행은 프로그램의 엔트리 포인트에서 멈춤.*엔트리 포인트(entry point) : 실행할 첫 번째 명령어의 주소.디버깅 방법디버거를 실행 중인 프로그램에 연결새로운 프로세스를 실행초기 동작 제어 및 모니터링XO 2) 프로세스 실행 제어디버거는 프로세스 실행 중, 프로세스의 행위를 제어/수정하는 기능을 가짐. 두 가지 중요한 기능은 실행..

1. 파일 유형 식별 .exe 확장자를 가짐 -> 윈도우 실행 파일로 추정. 보다 정확한 유형을 파악하기 위해 파일 시그니처를 확인했다. 파일의 첫 바이트가 헥사 문자 4D 5A라는 시그니처를 가지므로, 윈도우 실행 파일이 맞았다. 리눅스 시스템의 file 유틸리티를 이용해서도 파일을 식별해 봤다.PE32 executable : 32비트 윈도우 실행파일-> 악성코드 바이너리는 32비트 실행 파일이란 사실을 알 수 있다. ChatGPT 이용으로 얻은 추가 정보더보기GUI : 윈도우 GUI 프로그램.Net assembly : .NET으로 작성된 프로그램(.NET malware일 가능성 높음)Intel 80386 : 32비트 x86 아키텍처3 sections : 섹션 구조가 정상(보통 .text, .data..

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」 컴퓨터 기초 컴퓨터 : 정보를 처리하는 머신.컴퓨터의 모든 정보 : 비트로 표현.비트(bit) : 0 또는 1을 갖는 독립 단위. 비트로 숫자, 문자, 기타 정보를 나타낼 수 있음. 바이트(byte) : 8비트 묶음. 단일 바이트는 16진수 2개로 나타낸다. 니블(nibble) : 4비트 묶음. 16진수 1개로 나타낸다.워드(word) : 2바이트 묶음.더블워드(dword) : 4바이트 묶음..data쿼드 워드(qword) : 8바이트 묶음.바이트 순서의 의미는 사용 방법에 따라 다르다. 메인 메모리(RAM) : 컴퓨터에서 코드와 데이터를 저장.메인 메모리는 바이트의 배열이며, 각 바이트는 주소(address)라..

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」 동적분석 : 악성코드 실행 후 다양한 모니터링 활동을 수행.-> 목표 : 악성코드 행위, 시스템에 끼친 영향과 관련된 실시간 데이터 수집. 여러 유형의 모니터링프로세스 모니터링 : 프로세스 활동 모니터링, 악성코드 실행 중 생성한 결과의 속성을 검사.파일 시스템 모니터링 : 파일 시스템 실시간 모니터링.레지스트리 모니터링 : 접근/수정된 레지스트리 키, 악성코드 바이너리가 읽거나 작성한 레지스트리 데이터 모니터링.네트워크 모니터링 : 시스템으로 유입되거나 외부로 나간 라이브 트래픽 모니터링. 랩 환경 설정 후, 분석 도구 호스트 머신에서 다운. 도구를 가상머신에 전송하거나 설치, 클린 스냅샷 생성.*스냅샷 : VM..

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」정적분석 도구와 기법 파일 유형 파악의심스러운 바이너리의 파일 유형 구분. -> 운영 시스템과 아키텍처(32비트 또는 64비트 플랫폼) 식별에 도움. 윈도우 기반 악성코드 확장자 : 대부분 .exe / .dll / .sys 등으로 끝남.그러나 공격자가 파일 확장자를 수정할 수 있음. -> 파일 시그니처를 통해 파일 유형 구분 가능. 파일 시그니처(file signature) : 파일 헤더에 작성되는 바이트의 독특한 배열 순서.*윈도우 실행 파일 또는 PE 파일 : 파일의 첫 바이트에 MZ 또는 헥사 문자 4D 5A라는 파일 시그니처를 가짐.수작업 : 헥사 편집기(hex editor)로 파일을 열어 파일 시그니처를 찾..

전통적인 정보보호체계 : 시그니처 패턴 기반의 알려진 악성 URL 탐지-> 알려지지 않은 악성 URL 탐지 불가 악성 URL 데이터를 동적 학습해 효율적으로 악성 URL 탐지하는 기법 제안머신러닝 기반 특징 선택 알고리즘 사용 -> 악성코드 분류가중 유클리드 거리(Weighted Euclidean Distance, WED)를 활용 -> 사전처리 진행난독화 요소 제거 -> 정확도 개선악성코드 : 악의적인 목적을 위해 작성된 코드악성코드 은닉사이트 / 악성 URL(Uniform Resource Locator) : 악성코드를 사용자의 PC 감염시킬 수 있는 사이트-> 이러한 공격은 웹 사이트 방문, 이메일 확인 시에 발생. 악성코드 실행 후 공격. 악성코드 은닉 여부를 탐지하기 위한 정적 분석 기법에 관한 연..

이 글은 아래의 책을 읽고 공부 목적으로 작성됨.몬나파 K A, 「악성코드 분석 시작하기」 악성코드 : 악의정인 행위를 하는 코드로, 실행 파일/스크립트/코드 또는 다른 유형의 소프트웨어 형태가 될 수 있다. 악성코드가 수행하는 악성 행위 예시 :컴퓨터 연산 방해 / 개인, 비즈니스, 재무 데이터를 포함한 민감 정보 훔치기 / 표적 시스템에 무단으로 접근하기 / 표적을 감시하기 / 스팸 이메일을 보내기 / 분산 서비스 거부(DDoS, Distributed-Denial-of-Service) 공격에 참여하기 / 컴퓨터에 있는 파일을 잠금 후 대가 요구하기  악성코드의 분류1) 기능과 공격 벡터를 기준으로 분류한 악성코드 바이러스(Virus) 또는 웜(Worm) : 자가 복제하고 다른 컴퓨터로 확산하는 기능을..